+ de 700 vidéos sur le CCNA
  • N°1 de la certification Cisco Francophone
  • + de 8000 abonnés
  • + de 400 000 vidéos vues

ACL Standard : Configuration

Les ACL standards se configurent sur un routeur, en mode de configuration globale. 
La commande « access-list » permet de créer une entrée ACL.

Ici, dans l’exemple, le réseau 172.16. 2fois « 0 » combiné à un masque inversé en 2 fois 0. 2 fois « 255 » indiquent n’importe quelle adresse source qui commence par 172.16 !

Nous avons vu, qu’une ACL standard est numérotée de 1 à 99, ou de 1300 à 1999.

Dans l’exemple nous avons choisi de la nommer en 1.

|La sortie de la commande show access-list affiche les ACL qui sont actuellement configurées sur le routeur.

|Pour supprimer une ACL, il faut faire un : no access-list + son numéro d’ ACL  en mode de configuration globale.

|Et si on refait un « show access-list », cela nous confirme bien que l’ACL est supprimée.

Une ACL peut contenir plusieurs lignes. Par contre, il n’est pas possible de supprimer une ligne individuellement… Du moins, pour les ACL numérotées !

Le « no access-list » + le Numéro de l’acl, supprime tout le contenu de l’ACL . 

La seule manière d’enlever ou de modifier une ACL serait de copier toutes les lignes de l’ACL dans un éditeur de texte pour la modifier.

Ensuite de supprimer l’ACL sur le routeur, et de copier / coller la nouvelle ACL qu’on aura modifiée dans l’éditeur de texte. 

Sur les nouvelles versions de l’IOS, l’édition d’une ACL est simplifiée, car désormais, elles utilisent une numérotation séquentielle !

Grâce à l’ACL, il est donc possible de filtrer le trafic réseau pour limiter ou restreindre l’accès à une ressource réseau.

L’ACL permet de contrôler l’ accès en fonction des informations de couche 3, qui sont contenues dans l’en-tête du paquet IP !

Avec une ACL standard, il est possible d’empêcher des paquets IP, soit d’entrer ou soit de sortir du routeur. 

|Voici un petit schéma, qui explique bien la différence entre, le faite, de placé l’ACL en entrée ou en sortit d’interface !

|Dans une ACL sortante : les paquets qui rentrent sur le routeur sont traités, avant tout par la table de routage. Si le réseau de destination du paquet ne fait pas partie des réseaux qui figurent dans la table de routage, alors il sera supprimé ! Et si une correspondance existe, il sera envoyé vers l’ACL. Et idem pour l’ACL, si le paquet est autorisé alors il partira vers l’interface de sortit, sinon il sera supprimé !

|Et pour une ACL entrante : ici les paquets sont d’abords traités par l’ACL avant d’être envoyés au routeur ! 

Après avoir configuré une ACL , il faut l’appliquer à une interface à l’aide de la commande| « IP access-group » . 

La commande « IP access-group 1 out » , applique L’ACL N°1 sur l’interface en sortie:

Et la commande « IP access-group 2 in » applique L’ACL N°2 sur l’interface en entrée

Il ne peut y avoir qu’une seule ACL par protocole, par direction et par interface.

|On va prendre un exemple.

Sur cette topologie, nous souhaitons couper l’accès internet au PC qui porte l’IP 192.168.1.1, tout en autorisant les autres PC de ce même LAN !

Pour cela, il est possible d’appliquer un filtrage du trafic sur le routeur , |soit en entrer, c’est-à-dire sur l’interface qui est connectée au réseau local ou |soit en sortie,sur l’interface connectée cotée Internet. 

Comme la lecture d’une ACL se fait de haut en bas, |nous allons créer :

  • la première entrée en refusant le PC
  • |et la seconde en autorisant tout le LAN 192.168.1.0/24.

|Ensuite, il nous reste + qu’à appliquer cette ACL en sortie, sur l’interface Fast Ethernet 0/1 !

Vous remarquerez que l’ACL a été placé en sortie du routeur.

On aurait très bien pu, la positionner directement sur l’entrée FastEthernet 0/0.

Ce qui empêcherait toujours le PC en .1 d’accéder à Internet, mais le problème, c’est que ça l’aurait aussi empêché de communiquer avec le routeur !

Pour ceux qui se demande, |notre seconde ligne de l’acl, est indispensable, car implicitement pour des raisons de sécurité, la dernière entrée refuse tout passage. En gros si aucune entrée n’est matchée, le paquet est supprimé.

C’est pourquoi dans notre exemple, Il était important d’ajouter une ligne qui autorise tout le reste du réseau.

Au lieu de déclarer notre ACL standard par un numéro compris entre 1 à 99 et 1300 à 1999, il est possible de lui affecter un nom.

C’est ce qu’on appelle |une ACL nommée !

Cela permet d’avoir une description sur la fonction de l’ACL. Ce qui peut être très utile quand on en a plusieurs.

|La commande, pour créer une access liste nommée est « IP access-list standard + le nom qu’on souhaite lui donner ! dans l’exemple on lui donne le nom de : Internet_Interdit_PC1.

On peut pas être plus clair que ça 😊
Le nom qu’on attribue à l’ACL doit être unique.

Vous remarquerez |que le sigle a changé. On est maintenant dans le mode de configuration de notre ACL !

|On peut désormais écrire nos lignes ACL une par une !

Le principal avantage d’une ACL nommée, c’est que chaque ligne qu’on rentre est numérotée à partir 10 et incrémentés de 10 pour les suivantes. Notre ligne « deny » portera le 10 et la ligne en dessous sera «numéroté « 20 »

grâce à ça, il est possible de supprimer ou modifier une ligne sans devoir supprimer l’ACL en entière.

|Et il nous reste plus qu’à rattacher notre ACL nommée sur l’ interface.

Il s’agit de la même commande sauf qu’à la place du numéro on met le nom.

|Si on fait un « show access-lits », on voit bien que nos deux lignes ACL portent chacune un numéro de séquence.

Le gros avantage, c’est que si on souhaite interdire internet, pour un autre PC qui porterait l’IP 192.168.1.2, |on aura juste à placer notre ligne ACL juste avant le permit, en la numérotant avec un chiffre inférieur à 20.

Dans l’exemple, on a pris le numéro de séquence 5.

De cette façon, |si on refait un « show access-lists », notre dernière ACL , c’est placé au-dessus de la première !

On peut aussi très facilement supprimer une seule ligne de l’ACL, sans devoir la supprimer complètement, |en faisant simplement un « no » + le numéro de séquence à supprimer.

À faire bien évidemment, | dans le mode de configuration de l’ACL !

Et on va terminer avec la commande| « access-list resequence » qui permet la mise à jour de ces numéros séquences sans faire de redémarrage !